Способ оценки совершенности защиты

Иллюстрации

Показать все

Изобретение относится к системам оценки стратегии и практики защиты информации организации. Техническим результатом является собственно создание усовершенствованной компьютерной системы оценки стратегии и практики защиты информации организации, содержащей процессор и память, причем память содержит команды программного обеспечения, исполняемые процессором, для выполнения этапов, на которых определяют риск, связанный со стратегией и практикой защиты информации, собирают информацию о стратегии и практике защиты информации, формируют рейтинг с использованием матрицы оценки зрелости защиты, собранной информации и риска, связанного со стратегией и практикой защиты информации, формируют список корректирующих действий с использованием рейтинга, выполняют список корректирующих действий для формирования новой политики и практики защиты информации и осуществляют мониторинг новой стратегии и практики защиты информации. 11 з.п. ф-лы, 4 ил., 1 табл.

Реферат

Предшествующий уровень техники

Защита информации заключает в себе защиту информации от несанкционированного раскрытия, передачи, модификации или разрушения, либо случайного, либо преднамеренного. Защита информации стала преобладающей заботой организаций в результате тенденций развития в направлении к электронной коммерции, электронному бизнесу, универсальному доступу к электронной почте и к Web и широко опубликованных рекламирований защиты. В результате организации пытаются применить принципы защиты информации в прагматических рамках.

Для того чтобы дать возможность организациям применить принципы защиты информации в прагматических рамках, был разработан ряд информационных стандартов и инструментов. Один широко известный стандарт, BS7799/ISO17799, был разработан Британским институтом стандартов (BSI) и принят Международной организацией по стандартизации (ISO). Стандарт BS7799/ISO17799 является исчерпывающим множеством руководств, которые излагают в общих чертах применения наилучших способов в защите информации. Целью BS7799/ISO17799 является обеспечение единого ориентира для определения подходящей стратегии защиты информации для множества систем и организаций. Стандарт BS7799/ISO17799 включает в себя 10 разделов, причем каждый адресован конкретной области защиты информации (см. «ISO17799 Security Standard: ISO 17799 Compliance & Positioning», http://www.securityauditor.net/isol 17799/).

Процесс управления в соответствии с BS7799/ISO17799 является нетривиальной задачей. В результате разработан ряд продуктов анализа риска и управления риском, чтобы помочь организациям соответствовать стандарту BS7799/ISO17799. Одним таким продуктом является COBRA, который был разработан C & A Systems, Inc. Продукт COBRA используется для обеспечения полуавтоматического процесса оценки. COBRA использует ряд интерактивных вопросников, чтобы получить информацию о текущей стратегии защиты. Используя ответы из вопросников, COBRA создает отчеты, которые предоставляют информацию о текущем положении соответствия организации, на основании «прошел/не прошел», по отношению к каждому разделу стандарта BS7799/ISO17799.

Другим инструментом, который разработан для того, чтобы дать возможность организациям применять принципы защиты информации в прагматических рамках, является модель SSE-CMM. (Модель Зрелости Возможностей Разработки Защиты Систем). Модель SSE-CMM получена из концепций Модели Зрелости Возможностей Института разработки программного обеспечения (SEI), первоначально созданной для разработки программного обеспечения. Модель SSE-CMM описывает существенные характеристики процесса разработки защиты для конкретной организации, который должен существовать, чтобы гарантировать разработку хорошей защиты. Модель SSE-CMM не предписывает процесс или стандарт, такой как BS7799/ISO17799, а вместо этого использует модель, которая использует практические процессы, обычно наблюдаемые в промышленности. Кроме того, Модель SSE-CMM основана на модели зрелости, которая определяет конкретные цели и практические процессы для всего жизненного цикла организации. Кроме того, модель SSE-CMM определяет общий процесс оценки и роли для разработки защиты в организации (см. «System Security Engineering Capability Maturity Model-Model & Appraisal Method Summary April 1999», http://www.sse-cmm.org). Результирующая оценка, полученная в результате применения модели SSE-CMM, обычно не связана с инструментом формирования отчетов, чтобы представлять отчет об уровне зрелости.

Сущность изобретения

В целом в одном аспекте изобретение относится к способу, предназначенному для оценки стратегии и практики защиты информации организации, содержащему этапы, на которых определяют риск, связанный со стратегией и практикой защиты информации, собирают информацию о стратегии и практике защиты информации, создают рейтинг с использованием матрицы оценки зрелости защиты, собранной информации и риска, связанного со стратегией и практикой защиты информации, формируют список корректирующих действий с использованием рейтинга, выполняют список корректирующих действий, чтобы сформировать новую стратегию и практику защиты информации, и осуществляют мониторинг новой стратегии и практики защиты информации.

В целом в одном аспекте изобретение относится к устройству, предназначенному для оценки стратегии и практики защиты информации организации, содержащему средство, предназначенное для определения риска, связанного со стратегией и практикой защиты информации, средство, предназначенное для сбора информации о стратегии и практике защиты информации, средство, предназначенное для формирования рейтинга с использованием матрицы оценки зрелости защиты, собранной информации и риска, связанного со стратегией и практикой защиты информации, средство, предназначенное для формирования списка корректирующих действий с использованием рейтинга, средство, предназначенное для выполнения списка корректирующих действий, чтобы сформировать новую стратегию и практику защиты информации, и средство, предназначенное для осуществления мониторинга новой стратегии и практики защиты информации.

В целом в одном аспекте изобретение относится к компьютерной системе, предназначенной для оценки стратегии и практики защиты информации организации, содержащей процессор, память, средство ввода и инструкции программного обеспечения, хранимые в памяти для того, чтобы дать возможность компьютерной системе под управлением процессора выполнять определение риска, связанного со стратегией и практикой защиты информации, сбор информации о стратегии и практике защиты информации, формирование рейтинга с использованием матрицы оценки зрелости защиты, собранной информации и риска, связанного со стратегией и практикой защиты информации, формирование списка корректирующих действий с использованием рейтинга, реализацию списка корректирующих действий, чтобы сформировать новую стратегию и практику защиты информации, осуществление мониторинга новой стратегии и практики защиты информации.

Другие аспекты и преимущества изобретения поясняются в последующем описании и прилагаемой формуле изобретения.

Краткое описание чертежей

Фиг.1 - типичная компьютерная система.

Фиг.2 - блок-схема, детализирующая способ Оценки Зрелости Защиты в соответствии с одним вариантом осуществления изобретения.

Фиг.3 - фрагмент отчета Инструмента Формирования Отчетов Оценки Зрелости Защиты в соответствии с одним или более вариантами осуществления изобретения.

Фиг.4 - блок-схема, детализирующая способ Оценки Зрелости Защиты в соответствии с другим вариантом осуществления изобретения.

Подробное описание

Примерные варианты осуществления изобретения описаны со ссылками на чертежи. Одинаковые элементы обозначены одинаковыми ссылочными номерами по всем чертежам для согласованности.

В следующем подробном описании изобретения многочисленные конкретные детали приведены для обеспечения более полного понимания изобретения. Однако обычному специалисту в данной области техники должно быть понятно, что изобретение может быть применено без этих конкретных деталей. В других случаях широко известные признаки не описываются подробно, чтобы не затенять сущность изобретения.

Изобретение относится к способу, предназначенному для оценки зрелости защиты организации. Кроме того, изобретение относится к способу, предназначенному для оценки зрелости защиты организации с использованием матрицы оценки защиты. Кроме того, изобретение предусматривает, что матрица оценки защиты основывается на стандарте BS7799/ISO17799 и Модели Зрелости Возможностей (модели СММ). Кроме того, изобретение относится к способу обеспечения количественных, ориентированных на действия результатов с использованием матрицы оценки защиты. Кроме того, изобретение относится к способу, предусматривающему сравнение зрелости защиты организации с заранее определенной целью, или со зрелостью защиты той же самой организации в другой момент времени, или с уровнем зрелости защиты, заданной другой организацией или администрацией.

Изобретение может быть реализовано виртуально на компьютере любого типа независимо от используемой платформы. Например, как изображено на фиг.1, типичный компьютер (28) включает в себя процессор (30), связанную память (32), запоминающее устройство (34) и многочисленные другие элементы и функциональные средства современных компьютеров (не изображены). Компьютер (28) также может включать в себя средство ввода, такое как клавиатура (36) и мышь (38), средство вывода, такое как монитор (40). Специалистам в данной области техники должно быть понятно, что эти средства ввода и вывода могут принимать другие формы в доступной среде.

Способ оценки зрелости защиты (ОЗЗ) включает в себя пять различных этапов: (1) информированность и обязательство руководства (2) оценка зрелости защиты, (3) план корректирующих действий, (4) выполнение плана корректирующих действий и (5) постоянный мониторинг. Каждый из вышеупомянутых этапов объяснен более подробно ниже. Специалистам в данной области техники должно быть понятно, что названия, используемые для обозначения этапов, могут изменяться без отклонения от сущности изобретения.

На фиг.2 показана блок-схема способа ОЗЗ в соответствии с одним вариантом осуществления изобретения. Способ ОЗЗ начинается с обеспечения того, что руководство организации информировано и обязано улучшать практику и стратегию защиты информации организации (этап 100). Субъект оценки (например, лицо/компания, проводящая оценку) затем оценивает практику и стратегию защиты информации организации (этап 102). Используя информацию, собранную на этапе 102, субъект оценки разрабатывает план корректирующих действий (этап 104). Затем выполняют план корректирующих действий (106). Если организация желает продолжать мониторинг после выполнения плана корректирующих действий (этап 108), тогда субъект оценки может постоянно осуществлять мониторинг пересматриваемой практики и стратегии защиты информации организации (этап 110). После постоянного мониторинга способ может возвратиться на этап 100, чтобы по-прежнему гарантировать информированность и обязанности руководства организации или, возможно, переходит непосредственно на этап 102 при обеспечении информированности и обязательств руководства организации. Если для организации не желателен постоянный мониторинг после выполнения плана корректирующих действий (этап 108), то способ заканчивается.

Этап информированности и обязательства руководства является первым этапом способа ОЗЗ, используемым для увеличения информированности среди руководства оцениваемой организации и начала сбора информации. Более конкретно на этапе информированности и обязательства субъект оценки собирает информацию, чтобы понять цели бизнеса организации. Кроме того, субъект оценки собирает информацию, чтобы понять связанные риски в понятиях защиты информации. Например, если организация использует беспроводную локальную сеть (LAN, ЛС), для рассмотрения имеются другие риски информационной защиты по сравнению с тем, если организация использует традиционную ЛС, в которой все компьютеры соединены посредством Ethernet-кабеля. Кроме того, субъект оценки создает информированность в организации с помощью предоставления методологии и способа оценки зрелости защиты. В одном или более вариантах осуществления изобретения субъект оценки также может предоставлять дополнительную информацию о лежащих в основе стандартах, например стандарте ISO. В одном или более вариантах осуществления изобретения субъект оценки также может предоставлять объяснение концепции модели зрелости, как она применяется к оценке защиты.

Этап оценки зрелости защиты начинается с идентификации субъектом оценки участников, необходимых для того, чтобы выполнить ОЗЗ. Кроме того, субъект оценки совместно с организацией определяет эффект и стоимость, используемые для того, чтобы выполнить ОЗЗ. Также устанавливают ось времени для обеспечения возможности субъекту оценки и организации иметь средство для отслеживания продвижения ОЗЗ. В одном или более вариантах осуществления изобретения субъект оценки может запросить, чтобы организация подписала контракт оценки, чтобы гарантировать обязательство организации довести оценку до конца с помощью ОЗЗ. Когда вышеупомянутые этапы завершены, субъект оценки переходит к выполнению ОЗЗ.

Субъект оценки инициирует способ ОЗЗ путем сбора документов, детализирующих существующие стратегии и практические процессы защиты информации организации. После просмотра собранных документов обычно получают дополнительную информацию посредством интервью с участниками, идентифицированными в начале этого этапа. С использованием информации, полученной из собранных документов и интервью, создается предварительный рейтинг. Предварительный рейтинг детализирует зрелость отдельных разделов и общий уровень зрелости практики и стратегии защиты информации организации.

В одном или более вариантах осуществления изобретения предварительный рейтинг создается с использованием матрицы оценки защиты (SAM, МОЗ). МОЗ определяет каждый уровень зрелости для каждого элемента защиты информации. МОЗ включает в себя 61 строку, каждая из которых соответствует группе элементов защиты информации стандарта BS7799/ISO17799, и 5 столбцов, определяющих уровень зрелости. Пять уровней зрелости, упорядоченных от наименьшей зрелости до наибольшей зрелости, включают начальный (уровень 1), повторяемый (уровень 2), определенный (уровень 3), управляемый (уровень 4) и оптимизирующий (уровень 5). Для каждого пересечения строки и столбца имеется параграф, который определяет конкретный уровень «зрелости возможностей». Параграфы, содержащиеся в данной строке МОЗ, представляют последовательные уровни зрелости возможностей для одного и того же элемента защиты информации. Кроме того, некоторые строки МОЗ представляют последовательные уровни зрелости возможностей, связанные с одним элементом защиты информации, как описано в одном параграфе стандарта BS7799/ISO17799. Другие строки МОЗ могут представлять последовательные уровни зрелости возможностей элементов защиты информации, которые стандарт BS7799/ISO17799 описывает в отдельных параграфах или разделах.

В одном или более вариантах осуществления изобретения определение элемента для каждого элемента защиты информации включено в МОЗ. Определение элемента действует как пояснение для определений уровней для конкретного элемента защиты информации. Кроме того, в одном или более вариантах осуществления изобретения МОЗ включает в себя определения уровней следующим образом: уровень 1 - начальный; уровень 2 - не записан, но сообщается посредством инструктирования; уровень 3 - записан; уровень 4 - определена ответственность; уровень 5 - существует процесс, предназначенный для регистрации отклонений и улучшения защиты информации, чтобы исключить их. Кроме того, в одном или более вариантах осуществления изобретения МОЗ включает в себя требования области применения. Требования области применения указывают, для каких различных аспектов операций организации должен быть применен критерий, сформулированный в конкретной строке МОЗ.

Объединение определения определенного уровня (например, уровень 1) с одним элементом защиты информации (т.е. конкретная строка МОЗ) выдает конкретный критерий, который специалист в данной области техники может применить, чтобы установить: удовлетворяет или не удовлетворяет оцениваемая организация этому уровню зрелости для этого элемента защиты информации или превышает этот уровень. Кроме того, специалисты в данной области техники могут применить общее определение уровня зрелости (с уровня 1 по уровень 5) к конкретному элементу защиты информации, чтобы без труда определить, удовлетворяет или не удовлетворяет оцениваемая организация этому уровню зрелости для этого элемента защиты информации или превышает этот уровень даже, если конкретный критерий, сформулированный на пересечении этой строки и столбца МОЗ по каким-либо причинам, не является непосредственно применимым в случае этой организации.

Таблица 1 иллюстрирует МОЗ в соответствии с одним или более аспектами изобретения.

Ссылаясь на матрицу оценки защиты, представленную в таблице 1, чтобы выполнить оценку для конкретного элемента, объект оценки должен только выполнить следующие этапы: (i) найти элемент, о котором идет речь, сначала по категории, затем по подкатегории; (ii) прочитать описание под каждым уровнем зрелости и определить, удовлетворены ли требования этого уровня зрелости; и (iii) записать самый высокий уровень зрелости для этого элемента, который удовлетворен с помощью текущих стратегий и практик защиты информации организации.

Когда предварительная оценка завершена, она может быть отображена графическим способом. В одном варианте осуществления предварительную оценку отображают с использованием инструмента формирования отчетов оценки зрелости защиты (SMART, ИФОЗЗ). ИФОЗЗ дает возможность отображения предварительной оценки на детальном уровне, т.е. изображаются все 61 элемента, или на уровне сводки, т.е. изображаются только 10 широких категорий. Кроме того, ИФОЗЗ дает возможность организации сравнивать предварительную оценку с заранее установленной целью, в среднем по промышленности, или с предыдущей оценкой. Кроме того, схема отчета ИФОЗЗ дает возможность организации легко идентифицировать области, которые требуют улучшения.

Фиг.3 иллюстрирует часть отчета ИФОЗЗ в соответствии с одним или более вариантов осуществления изобретения. В первом столбце (10) перечислены широкие категории. Во втором столбце (12) перечислены элементы в каждой из категорий. Третий столбец (14) графически представляет «оцененную зрелость возможностей» (АСМ, ОЗВ) (16). Третий столбец подразделен на пять уровней (L1, L2, L3, L4 и L5), соответствующих уровням зрелости, перечисленным выше. Для каждого элемента ОЗВ представлена с помощью затушевывания соответствующей строки до соответствующего уровня. Если ОЗВ не является целью (18), т.е. уровнем, на котором организации желательно находиться для определенного элемента, то представляют дополнительное затушевывание, отображающее расхождение между целью (18) и ОЗВ (16).

Например, на фиг.3 категория 2 содержит четыре элемента: элемент D (2), элемент Е (4), элемент (F) и элемент G (8). Более конкретно для элемента G (8), ОЗВ (16) находится на уровне 2 (22), в то время как цель (18) находится на уровне 3 (24). Следовательно, имеется расхождение (20) между уровнем 2 (22) и уровнем 3 (24) в строке, содержащей элемент G(8). Следовательно, организация может легко увидеть, что элемент G (8) находится ниже цели (18). В противоположность этому организация может легко видеть, что уровень зрелости возможности для элемента F (6) соответствует цели (26), установленной для этого элемента, таким образом, для пункта F (6) отсутствует расхождение.

Возвращаясь назад к этапу ОЗВ, когда предварительная оценка завершена, субъект оценки осуществляет просмотр предварительной оценки с организацией. Во время просмотра предварительная оценка может быть пересмотрена, если необходимо. Когда это завершено, генерируется окончательная оценка.

На этапе плана корректирующих действий (САР, ПКД) ПКД генерируется с использованием окончательной оценки и матрицы оценки защиты. Предложенные действия нацелены на улучшение элементов, которые имеют расхождения, и на приведение этих элементов на уровень цели. Кроме того, в ПКД элементам могут быть присвоены приоритеты в соответствии с потребностями и ресурсами организации. На этапе выполнения плана корректирующих действий осуществляется выполнение ПКД. Например, если МОЗ констатирует, что для определенного элемента, находящегося на уровне 3, «стратегия записана», и находящегося на уровне 4, «назначен ответственный руководитель применения этой стратегии», то следует, что если организация оценена на уровне 3 для этого элемента, а ее целью является находиться на уровне 4, то ПКД должен включать следующее действие: «Назначить ответственного руководителя этой стратегии».

Этап мониторинга ОЗЗ включает в себя периодические отчеты ИФОЗЗ, чтобы гарантировать, что цели достигнуты и поддерживаются. Кроме того, на этом этапе объект оценки может обнаружить изменение в среде, которое могло бы потребовать добавлений или изменений в практике и/или стратегии защиты. Кроме того, на этапе мониторинга субъект оценки может предоставить помощь для опроса организации в случае инцидента с защитой информации. В одном или более вариантах осуществления изобретения фаза мониторинга является необязательной.

Фиг.4 иллюстрирует блок-схему, детализирующую способ ОЗЗ в соответствии с другим вариантом осуществления изобретения.

Сначала определяются цели бизнеса организации (этап 112), а также связанный риск в понятиях защиты информации (этап 114). Затем осуществляется сбор письменной документации о существующих стратегиях и практике защиты информации организации (этап 116). Затем осуществляется сбор дополнительной информации посредством интервью (этап 118). С использованием информации, собранной на этапах со 112 по 118, генерируется оценка МОЗ (этап 120). Если получена дополнительная информация (этап 122), то этап 120 может повторяться. Если дополнительная информация не получена (этап 122), то предлагается список корректирующих действий (этап 124). Затем задаются приоритеты корректирующих действий (этап 126) и осуществляется их выполнение (этап 128) для формирования модифицированной стратегии и процедуры защиты информации. Затем осуществляют мониторинг модифицированных стратегий и процедур защиты информации (этап 130). Если есть изменение в среде защиты информации, например, при слиянии первой организации со второй организацией, приводя в результате к тому, что сеть первой организации интегрируется в сеть второй организации, или, если наступает время периодического просмотра (этап 132), то процесс переходит назад на этап 116.

Изобретение в одном или более вариантах осуществления может иметь одно или более из следующих преимуществ. Способ ОЗЗ является систематическим подходом, который включает в себя процесс, детальный метод оценки (т.е. МОЗ) и инструмент формирования отчетов (т.е. ИФОЗЗЗ). Кроме того, способ ОЗЗ охватывает все аспекты защиты информации и явно определяет, что означает каждый уровень для каждого элемента. Кроме того, способ ОЗЗ является практическим. Кроме того, каждый элемент оценивается с точки зрения зрелости возможностей, а не по принципу «прошел/не прошел», давая возможность организации легко определить, на каком уровне находится организация относительно конкретного элемента защиты информации, и оценить прогресс во времени или относительно цели, даже если этот прогресс является постепенным. Кроме того, матрица оценки защиты может быть использована как список рекомендаций, чтобы детализировать, как организация может достигнуть свои цели защиты информации.

Кроме того, способ ОЗЗ легко применить, так как каждый элемент и соответствующее множество критериев для каждого уровня зрелости, связанного с элементом, ясно определены. Кроме того, способ ОЗЗ является гибким, так как он может быть использован для множества целей. Например, ОЗЗ может быть использован с целью установления для потребителя или управляющего руководства, что организация имеет требуемые возможности для выполнения определенной задачи. ОЗЗ также может быть использован с целью внутреннего мониторинга во времени усовершенствований, принятых руководством организации. ОЗЗ также может быть использован с целью удовлетворения определенного промышленного стандарта или достижения цели, установленной посредством анализа возможностей защиты, в условиях конкуренции.

Кроме того, изобретение создает объективную оценку практики и стратегии защиты информации организации путем исключения элемента субъективности из процесса оценки.

Хотя изобретение описано для ограниченного числа вариантов осуществления, специалистам в данной области техники на основе этого раскрытия должно быть понятно, что могут быть созданы варианты осуществления без отклонения от объема изобретения, как раскрыто в настоящем описании. Таким образом, объем изобретения должен быть ограничен только прилагаемой формулой изобретения.

1. Компьютерная система, конфигурированная для повышения защиты информации в организации, содержащая процессор и память, причем память содержит команды программного обеспечения, исполняемые процессором, для выполнения получения собранной информации о защите информации организации, формирования значения оцененной зрелости возможностей для каждого из множества элементов защиты информации с использованием матрицы оценки зрелости защиты и собранной информации, причем матрица оценки зрелости защиты содержит первую размерность и вторую размерность, при этом первая размерность соответствует множеству элементов защиты информации, а вторая размерность соответствует множеству уровней зрелости, причем, по меньшей мере, один из множества уровней зрелости соответствует уровню зрелости, ассоциированному с Моделью Зрелости Возможностей, и каждая оцененная зрелость возможностей выводится с использованием упомянутых первой размерности и второй размерности матрицы, получения первого описания из матрицы оценки зрелости защиты, соответствующего оцененной зрелости возможностей, по меньшей мере, одного из множества элементов защиты информации, причем первое описание содержит первое множество критериев, ассоциированных с оцененной зрелостью возможностей, получения второго описания из матрицы оценки зрелости защиты, соответствующего цели, по меньшей мере, одного из множества элементов защиты информации, причем второе описание содержит второе множество критериев, ассоциированных с целью формирования плана корректирующих действий с использованием первого описания и второго описания, причем план корректирующих действий содержит, по меньшей мере, один критерий, при этом, по меньшей мере, один критерий является одним из второго множества критериев, но не одним из первого множества критериев, определения того, каким образом модифицировать стратегию и практику защиты информации организации с использованием плана корректирующих действий, модифицирования стратегии и практики защиты информации организации с использованием результатов упомянутого определения для повышения защиты информации организации, приводящего к новой стратегии и практике защиты информации, и мониторинга новой стратегии и практики защиты информации.

2. Компьютерная система по п.1, дополнительно содержащая команды программного обеспечения для формирования нового значения оцененной зрелости возможностей для каждого из множества элементов защиты информации с использованием матрицы оценки зрелости защиты.

3. Компьютерная система по п.1, дополнительно содержащая средство вывода и команды программного обеспечения для формирования графического представления оцененной зрелости возможностей и цели для, по меньшей мере, одного из множества элементов защиты информации, при этом графическое представление отображается на средстве вывода и показывает, где защита информации организации требует улучшения.

4. Компьютерная система по п.3, в которой графическое представление оцененной зрелости возможностей и цели для, по меньшей мере, одного из множества элементов защиты информации формируется с помощью инструмента подготовки отчетов оценки зрелости защиты.

5. Компьютерная система по п.4, в которой инструмент подготовки отчетов оценки зрелости защиты содержит функциональное средство для отслеживания рейтингов каждого из множества элементов защиты информации во времени.

6. Компьютерная система по п.4, в которой инструмент подготовки отчетов оценки зрелости защиты содержит функциональное средство для графического сравнения рейтингов, связанных с каждым из множества элементов защиты информации, с соответствующей целью, ассоциированной с каждым из множества элементов защиты информации.

7. Компьютерная система по п.1, в которой, по меньшей мере, один из множества элементов защиты информации соответствует элементу защиты информации, ассоциированному с, по меньшей мере, одним, выбранным из группы, состоящей из группирования элементов 7799 Британского института стандартов и группирования элементов 17799 Международной организации по стандартизации.

8. Компьютерная система по п.1, в которой уровень зрелости является, по меньшей мере, одним уровнем, выбранным из группы, состоящей из начального, повторяемого, определенного, управляемого и оптимизированного уровня.

9. Компьютерная система по п.1, в которой, по меньшей мере, один из множества элементов защиты информации в первой размерности матрицы ассоциирован с требованием объема.

10. Компьютерная система по п.9, в которой требование объема определяет те подразделения организации, к которым применим, по меньшей мере, один из множества элементов защиты информации.

11. Компьютерная система по п.1, в которой сбор информации включает в себя сбор документации, детализирующей стратегию и практику защиты информации организации.

12. Компьютерная система по п.1, в которой, по меньшей мере, один из множества элементов защиты информации соответствует практике наилучшего режима в защите информации.